Voici comment les patrons évaluent la sensibilisation de leurs collaborateurs à la sécurité informatique

Pour la sensibilisation à la sécurité informatique dans les entreprises, il n'existe pas de kit standard prêt à l'emploi que l'on achète une fois pour toutes, que l'on installe et que l'on actualise de temps en temps. La sécurité informatique doit être considérée comme un processus qui doit être adapté en permanence à l'évolution des conditions. La technique et les technologies (comme l'IA) y contribuent. Mais au bout de la chaîne d'utilisation des TI se trouve l'homme, qui effectue ses activités à l'aide d'ordinateurs et d'appareils. Et c'est là que la sécurité informatique devient vulnérable. En effet, le facteur humain joue toujours un rôle décisif lorsqu'il s'agit de vulnérabilités.

Mais comment les directions d'entreprises en Allemagne, en Autriche et en Suisse voient-elles les choses ? Croient-elles leurs collaborateurs capables de reconnaître un e-mail de phishing à l'apparence trompeuse ? Surfent-ils via le VPN de l'entreprise dans leur bureau à domicile pendant leurs pauses et mettent-ils ainsi en danger l'informatique de l'entreprise ? Quel est le niveau de sensibilisation à la sécurité informatique au sein du personnel ? C'est ce que Sophos a voulu savoir, entre autres, auprès des cadres supérieurs et des cadres dirigeants (C-Level) dans les trois pays germanophones. L'institut de sondage Ipsos a interrogé pour le compte de Sophos environ 200 cadres du commerce, des services et de l'industrie manufacturière. Les notes ont été attribuées selon le système allemand, c'est-à-dire que la meilleure note est toujours un 1.

Notes pour la sensibilisation à la sécurité informatique : Chefs allemands 2, collaborateurs 3

Les chefs allemands s'attestent une conscience très élevée (35,3 %) à élevée (46,3 %) de la sécurité informatique, tous secteurs confondus. La taille de l'entreprise joue un rôle dans l'auto-évaluation : dans les grandes entreprises (200 collaborateurs et plus), 30,2 % des cadres se donnent la note 1, contre 37,2 % dans les plus petites (50-199 collaborateurs). Si l'on compare les secteurs d'activité, c'est surtout dans le commerce que les managers estiment, à 38,7 %, avoir une conscience très élevée de la sécurité informatique.

Les managers allemands sont un peu plus sévères dans l'évaluation de leurs équipes : la majorité d'entre eux (41,8 %) ne leur attribue que la note 3 - Satisfaisant. Ce sont les chefs des services qui attribuent le plus souvent la meilleure note à leurs collaborateurs (11 %). Ici aussi, la taille de l'entreprise joue un rôle dans l'évaluation : les chefs de 199 employés ou moins considèrent que la conscience de la sécurité de leur personnel est très élevée avec 10,8 pour cent. Les managers des entreprises de plus de 200 collaborateurs n'attribuent la meilleure note qu'à 5,7 % de leur personnel. Ils attribuent même la note 5 à 3,8 %, alors que les petites entreprises ne sont que 0,7 % à attribuer à leurs collaborateurs une conscience aussi faible de la sécurité informatique.

Les managers des grandes entreprises autrichiennes se donnent plus souvent à eux-mêmes et à leur personnel un 1

La situation est en revanche légèrement différente en Autriche. Alors que, comme en Allemagne, la majorité (45,3 %) donne également un 3 à son personnel, la part des meilleures notes est globalement plus élevée qu'en Allemagne : ici, 13,2 % attribuent à leurs équipes un 1 pur et simple dans le domaine de la cyberconscience. Et alors qu'en Allemagne, les grandes entreprises ont une appréciation plus critique, la situation est exactement inverse en République alpine : 17,6 % des entreprises de plus de 200 collaborateurs leur attribuent un 1 ou un 2 en matière de conscience de la sécurité.

Les cadres autrichiens s'attribuent une conscience très élevée de la sécurité informatique avec 41,5 % et une conscience élevée avec 39,6 %, ce qui est mieux que l'auto-évaluation des cadres allemands. Des rapports d'évaluation similaires sont observés si l'on considère la taille de l'entreprise : Dans les grandes entreprises, 52,9 % des cadres s'évaluent même avec un 1, contre 36,1 % dans les petites entreprises.

Les cadres suisses se donnent un 2, les employés un 2-3

La conscience de la sécurité du management en Suisse est évaluée en moyenne la plus élevée avec 45,1 pour cent avec la note 2. Un peu plus dans les petites entreprises (46,9 pour cent), un peu moins dans les grandes entreprises (42,1 pour cent). La meilleure note est attribuée par 39,2 % des patrons suisses (et même 47,4 % dans l'industrie manufacturière). Les grandes entreprises attribuent un 1 et un 2 avec la même évaluation (42,1 % chacune).

35,3 % des décideurs suisses (26,3 % dans les grandes entreprises, 40,6 % dans les plus petites) estiment que la conscience de la sécurité de leurs collaborateurs est satisfaisante. Les grandes entreprises attribuent un 2 à leur personnel (36,8 %, moyenne 29,4 %).

La formation, principale mesure de sécurité supplémentaire

Pour une entreprise sur deux en Allemagne, la formation des collaborateurs est la mesure la plus importante pour améliorer la cybersécurité dans l'entreprise. La majorité des entreprises sont conscientes que l'homme est un facteur critique de la cybersécurité. Interrogés sur les mesures prises par les décideurs de leur entreprise pour assurer leur cybersécurité, 55,7 % placent la formation des collaborateurs depuis au moins deux ou trois ans en première position. En Allemagne, l'industrie manufacturière est particulièrement engagée dans la formation depuis plusieurs années (64,6 %), tandis que le commerce ne forme majoritairement ses équipes dans ce sens que depuis environ un an (41,9 %).

En Autriche, pays voisin, les patrons investissent également depuis au moins deux ou trois ans dans les capacités de sécurité de leurs collaborateurs comme principale mesure de protection, avec 64,4 %. Dans le commerce, cette valeur est la plus faible avec 44,4 %. Depuis un an seulement, environ une entreprise sur cinq organise des formations pour ses collaborateurs (20,8 %). Là encore, on constate une forte différence entre l'industrie manufacturière (27,8 %) et le commerce (11,1 %), ce dernier indiquant à 33,3 % qu'il envisage de le faire.

Les Confédérés considèrent également la formation du personnel comme la mesure la plus importante pour améliorer la cybersécurité (66,7 %) et la pratiquent depuis au moins deux ou trois ans. L'industrie manufacturière suisse se situe ici nettement au-dessus de la moyenne avec 84,2 %, le commerce fortement en dessous avec 37,5 %, les prestataires de services proches de la moyenne avec 62,5 %. La taille de l'entreprise n'est pas un paramètre déterminant en Suisse et ne s'écarte que marginalement de la moyenne.

Summa Summarum : un niveau de sensibilisation à la sécurité informatique satisfaisant est sans doute acceptable

Dans l'ensemble et dans les trois pays, les cadres dirigeants d'Allemagne, d'Autriche et de Suisse s'attestent à eux-mêmes et à leurs équipes une approche fondamentalement positive et responsable de la sécurité informatique - avec toutefois une marge de progression. L'exemple autrichien se distingue par une attitude plus bienveillante à l'égard de ses collaborateurs, tandis que les directions d'entreprise continuent de maintenir la sensibilisation par des formations continues régulières.

Les patrons allemands et suisses portent un jugement assez similaire sur eux-mêmes et sur leurs collaborateurs. La formation des équipes fait également partie des mesures de sécurité les plus importantes depuis des années, la Suisse enregistre même la valeur la plus élevée dans ce domaine, alors que, tout comme en Allemagne, elle n'attribue qu'une note satisfaisante à son personnel en matière de sensibilisation à la sécurité informatique. Cet écart entre l'attribution des compétences et la formation continue peut avoir plusieurs raisons - peut-être que les formations ne sont pas encore aussi efficaces qu'espéré ou qu'une phase de formation plus longue est nécessaire. Peut-être qu'après de nombreuses années de formation, un "satisfaisant" doit être provisoirement accepté comme une sensibilisation suffisante à la sécurité informatique dans les entreprises - en particulier au vu des tactiques d'attaque de plus en plus astucieuses, comme par exemple les e-mails de phishing ou l'ingénierie sociale. En tout cas, la formation est et reste un élément très important pour la sécurité informatique dans les entreprises. Les chefs sont conscients de la vulnérabilité humaine dans le système et font preuve d'engagement pour l'améliorer par des mesures appropriées.

Source : Sophos